Σε αυτόν τον οδηγό βήμα προς βήμα, θα σας πω πώς να ρυθμίσετε το Mikrotik έτσι ώστε οι απαγορευμένοι ιστότοποι να ανοίγουν αυτόματα μέσω αυτού του VPN και να μπορείτε να αποφύγετε να χορεύετε με ντέφι: ρυθμίστε το μια φορά και όλα λειτουργούν.
Επέλεξα το SoftEther ως VPN μου: είναι τόσο εύκολο να το εγκαταστήσω και το ίδιο γρήγορα. Ενεργοποίησα το Secure NAT από την πλευρά του διακομιστή VPN, δεν έγιναν άλλες ρυθμίσεις.
Θεώρησα το RRAS ως εναλλακτική, αλλά η Mikrotik δεν ξέρει πώς να συνεργαστεί με αυτό. Η σύνδεση έχει δημιουργηθεί, το VPN λειτουργεί, αλλά η Mikrotik δεν μπορεί να διατηρήσει μια σύνδεση χωρίς συνεχείς επανασυνδέσεις και σφάλματα στο αρχείο καταγραφής.
Η ρύθμιση έγινε στο παράδειγμα του RB3011UiAS-RM στην έκδοση υλικολογισμικού 6.46.11.
Τώρα, με τη σειρά, τι και γιατί.
1. Ρυθμίστε μια σύνδεση VPN
Ως λύση VPN φυσικά επιλέχθηκε το SoftEther, L2TP με προκοινόχρηστο κλειδί. Αυτό το επίπεδο ασφάλειας είναι αρκετό για οποιονδήποτε, γιατί μόνο ο δρομολογητής και ο κάτοχός του γνωρίζουν το κλειδί.
Μεταβείτε στην ενότητα διεπαφές. Αρχικά, προσθέτουμε μια νέα διεπαφή και, στη συνέχεια, εισάγουμε ip, login, κωδικό πρόσβασης και κοινόχρηστο κλειδί στη διεπαφή. Πατήστε ok.
Ίδια εντολή:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Το SoftEther θα λειτουργήσει χωρίς να αλλάξει τις προτάσεις ipsec και τα προφίλ ipsec, δεν λαμβάνουμε υπόψη τη διαμόρφωσή τους, αλλά ο συγγραφέας άφησε στιγμιότυπα οθόνης των προφίλ του, για κάθε ενδεχόμενο.
Για RRAS σε προτάσεις IPsec, απλώς αλλάξτε την Ομάδα PFS σε κανένα.
Τώρα πρέπει να σταθείτε πίσω από το NAT αυτού του διακομιστή VPN. Για να γίνει αυτό, πρέπει να πάμε στο IP > Firewall > NAT.
Εδώ ενεργοποιούμε τη μεταμφίεση για μια συγκεκριμένη ή όλες τις διεπαφές PPP. Ο δρομολογητής του συγγραφέα είναι συνδεδεμένος με τρία VPN ταυτόχρονα, οπότε έκανα αυτό:
Ίδια εντολή:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Προσθέστε κανόνες στο Mangle
Το πρώτο πράγμα που θέλετε, φυσικά, είναι να προστατεύσετε οτιδήποτε είναι πιο πολύτιμο και ανυπεράσπιστο, δηλαδή την κυκλοφορία DNS και HTTP. Ας ξεκινήσουμε με το HTTP.
Μεταβείτε στο IP → Firewall → Mangle και δημιουργήστε έναν νέο κανόνα.
Στον κανόνα, η αλυσίδα επιλέγει Προδρομολόγηση.
Εάν υπάρχει ένα Smart SFP ή άλλος δρομολογητής μπροστά από το δρομολογητή και θέλετε να συνδεθείτε σε αυτό μέσω της διεπαφής web, στο Dst. Η διεύθυνση πρέπει να εισαγάγει τη διεύθυνση IP ή το υποδίκτυό της και να βάλει αρνητικό πρόσημο για να μην εφαρμόζεται το Mangle στη διεύθυνση ή σε αυτό το υποδίκτυο. Ο συγγραφέας έχει SFP GPON ONU σε λειτουργία γέφυρας, επομένως ο συγγραφέας διατήρησε τη δυνατότητα σύνδεσης στο webmord του.
Από προεπιλογή, το Mangle θα εφαρμόσει τον κανόνα του σε όλες τις καταστάσεις NAT, κάτι που θα καταστήσει αδύνατη την προώθηση θύρας στη λευκή σας διεύθυνση IP, επομένως στην κατάσταση NAT σύνδεσης, ελέγξτε το dstnat και ένα αρνητικό πρόσημο. Αυτό θα μας επιτρέψει να στέλνουμε εξερχόμενη κίνηση μέσω του δικτύου μέσω του VPN, αλλά και πάλι να προωθούμε θύρες μέσω της λευκής μας IP.
Στη συνέχεια, στην καρτέλα Action, επιλέξτε mark routing, ονομάστε New Routing Mark ώστε να είναι σαφές για εμάς στο μέλλον και να προχωρήσουμε.
Ίδια εντολή:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Τώρα ας προχωρήσουμε στην ασφάλεια DNS. Σε αυτήν την περίπτωση, πρέπει να δημιουργήσετε δύο κανόνες. Το ένα για το δρομολογητή και το άλλο για συσκευές που είναι συνδεδεμένες στο δρομολογητή.
Εάν χρησιμοποιείτε το ενσωματωμένο DNS στο δρομολογητή, κάτι που κάνει ο συγγραφέας, πρέπει επίσης να προστατεύεται. Επομένως, για τον πρώτο κανόνα, όπως παραπάνω, επιλέγουμε την προδρομολόγηση αλυσίδας, για τον δεύτερο, πρέπει να επιλέξουμε την έξοδο.
Η έξοδος είναι μια αλυσίδα που χρησιμοποιεί ο ίδιος ο δρομολογητής για αιτήματα χρησιμοποιώντας τη λειτουργικότητά του. Όλα εδώ είναι παρόμοια με το HTTP, το πρωτόκολλο UDP, τη θύρα 53.
Οι ίδιες εντολές:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Δημιουργία διαδρομής μέσω VPN
Μεταβείτε στο IP → Routes και δημιουργήστε νέες διαδρομές.
Διαδρομή για δρομολόγηση HTTP μέσω VPN. Καθορίστε το όνομα των διεπαφών VPN μας και επιλέξτε Σημείωση δρομολόγησης.
Σε αυτό το στάδιο, έχετε ήδη νιώσει πώς ο χειριστής σας σταμάτησε .
Ίδια εντολή:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Οι κανόνες για την προστασία DNS θα φαίνονται ακριβώς οι ίδιοι, απλώς επιλέξτε την επιθυμητή ετικέτα:
Εδώ νιώσατε πώς σταμάτησαν να ακούγονται τα ερωτήματά σας DNS. Οι ίδιες εντολές:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Λοιπόν, στο τέλος, ξεκλειδώστε το Rutracker. Ολόκληρο το υποδίκτυο ανήκει σε αυτόν, επομένως το υποδίκτυο καθορίζεται.
Τόσο εύκολο ήταν να επαναφέρεις το Διαδίκτυο. Ομάδα:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Με τον ίδιο ακριβώς τρόπο όπως και με το root tracker, μπορείτε να δρομολογήσετε εταιρικούς πόρους και άλλους αποκλεισμένους ιστότοπους.
Ο συγγραφέας ελπίζει ότι θα εκτιμήσετε την ευκολία πρόσβασης στο root tracker και στην εταιρική πύλη ταυτόχρονα χωρίς να βγάλετε το πουλόβερ σας.
Πηγή: www.habr.com